1.

Introduccin a Risk
Management
Factores en la Determinacin del Valor del Riesgo
u

Impacto Financiero (Costo de Prdida Dao)

Probabilidad de Ocurrencia

Costo /Unidad de Tiempo

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

1. Introduccin a Risk
Management
Cuantificacin del Riesgo
g
Costo de Prdida
RIESGO

Probabilidad de Ocurrencia
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

1. Introduccin a Risk
Management
VALOR DEL RIESGO
Costo de Prdida Total

= $ 150000,000 U.S.D.

Probabilidad de Ocurrencia = 0.003/Ao

Valor del Riesgo

= $ 450,000 U.S.D. /Ao

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3 Metodologa de Risk Mgmt

3.
31
3.1

Obtener ell Compromiso

Obt
C
i y Soporte
S
t d
de lla Alt
Alta
Gerencia

3.2

Formar el Equipo de Anlisis y Evaluacin

de Riesgos

3.3

Identificar, Clasificar y Valuar Activos

34
3.4

Identificar Amenazas y Vulnerabilidades

3.5

Elaborar la Matriz de Anlisis y Evaluacin

d Ri
de
Riesgos (A
(Activos
i
VS A
Amenazas))

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3 Metodologa de Risk Mgmt

3.
3.6

Determinar: Impacto Financiero, Probabilidad de

ocurrencia y Riesgo por c/relacin Activo-Amenaza

3.7

Definir Medidas de Proteccin (Estrategias y Controles)

3.8

Desarrollar el Anlisis Beneficio/Costo de las Medidas de

Proteccin

3.9

Determinar la Factibilidad Tcnica, Econmica y

Operacional de la implementacin de las Medidas de
Proteccin.

3.10

Probar, Implementar y Evaluar las Medidas de Proteccin

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3 Metodologa de Risk Mgmt

3.
31
3.1
u

Obtener ell Compromiso

Obt
C
i y Soporte
S
t d
de la
l
Alta Gerencia

E bl
Establecer
objetivos
bj i
claros
l
para ell Risk
Ri k Management
M

Asignar Equipo de Gente Calificada

Delegar autoridad

Revisar Conclusiones

Tomar decisiones
T
d i i
respecto
t a Medidas
M did de
d Proteccin
P t i
Dar Soporte a la Implementacin

Evaluar Resultados

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3 Metodologa de Risk Mgmt

3.
32
3.2

Formacin del Equipo de Anlisis y

Evaluacin de Riesgos
u

Usuarios

Gerencia de Informtica

Soporte Tcnico

Desarrollo de Sistemas

O
Operaciones
i
d
dell C
Centro
t d
de Cmputo
C
t

Auditora

Seguridad Informtica, Otros

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3 Metodologa de Risk Mgmt

3.
3 3 Identificar,
3.3
Identificar Clasificar y Valuar Activos.
Activos
Identificacin y Clasificacin de Activos.
Hardware
Software
procedimientos
Personal. Habilidades y p
Activos Fsicos y Ambientales
Activos Administrativos
Datos e Informacin
Equipo de Comunicaciones
Imagen de la Empresa (Goodwill)
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3 Metodologa de Risk Mgmt

3.
3 3 Identificar,
3.3
Identificar Clasificar y Evaluar Activos
Hardware

Mquina Central

Software

Fsicos

Sistemas Operativos

Equipo de
Comunicaciones

CPU

Programas

Sistemas ambientales

Memoria Principal

Aplicaciones

Equipo de Respaldo

Lneas

Canales de Entrada/Salida

Utileras

Accesorios

Controladores

Edificio

" Front End Processors "

Consola del Operador

Medios de Almacenamiento

Programas de Prueba
Comunicaciones

Modems

Discos
Cintas
Cartuchos
Cassettes

Dispositivos de I/O
Impresoras
Di
Dispositivos
iti
d
de T
Tarjetas
j t

Personal
Personal de Informtica

Drives de Discos y Cintas

Equipo Especial

Datos

Contratistas Proveedores

Clasificados

Usuarios

De Planeacin

Personal del Edificio

Financieros

Terminales
" Gateways "

p
Multiplexores

Administrativos
Documentacin
Operaciones

Equipo de Bases de Datos

Procedimientos

Controladores

Inventario

De Logstica
De Personal
Comunicaciones

Servidores de Archivos

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

Unidades de Interfase
Servidores de Archivos
Dispositivos de Encripcin
Cables
Salas
Telfonos
Faxes
Etc.

3 Metodologa de Risk Mgmt

3.
Clasificacin de Activos
Activos Tangibles:
Son aquellos
q
cuyo
y valor puede
p
ser fcilmente medible
en trminos monetarios (dlares, pesos, etc.)

Activos Intangibles:
Son aquellos activos que NO son fcilmente medibles
en trminos monetarios (dlares, pesos, etc.)
Ejemplos: - Tylenol/Jonhson & Jonhson. Sellos rotos y

cpsulas con txicos introducidas en los frascos

- Pentium/ Intel Errores en clculos matemticos
- Carcasas de Notebooks ((Compaq)
p q)
- Calidad en Notebooks (Dell)

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3 Metodologa de Risk Mgmt

3.
Clasificacin de Activos
Activos Fsicos:
Son aquellos
q
activos que
q podemos
p
tocar o sentir. Son
tambin Activos Tangibles.

Activos Lgicos:
Son aquellas cosas como datos o arreglos de cosas.
Muchos de ellos son Intangibles.

Ejemplos:

Un programa en un diskette.
Cunto vale el diskette fsico? 2 US Dlares
Cunto vale el programa? Cientos de Miles de Dlares
Valor de rehacer el programa???

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3 Metodologa de Risk Mgmt

3.
Valuacin de Activos
Mtodo: Escala Base 10:
Nmero E
N
Escalar
l
0
1
2
3
4
.
8

Valor
V
l en US Dl
Dlares
$ 1 o menos
hasta $10
$100
$1,000
$10 000
$10,000
.
$100000,000

En esta escala, el nmero asignado se basa en una potencia de 10.

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3. Metodologa
g de Risk Mgmt
g
Mtodo: Escala Base Logartmica:
Nmero escalar

Valor en US Dlares

0
1
2
3
4
5
6
7
8
9

Menor a $300
Hasta $700
Hasta $2,000
Hasta $5,000
$15 000
$15,000
$40,000
$110,000
$300 000
$300,000
$800,000
$2200,000

En esta
E
t ttabla
bl cada
d l
lmite
it d
de rango crece por un ffactor
t d
de
alrededor de 2.7183 en lugar de un factor de 10.
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3. Metodologa
g de Risk Mgmt
g
3.5 Elaborar la Matriz de Activos VS Amenazas
Amenazas

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

Intterrupcin

Co
orrupcin

Reemocin

Accidental

Reevelacin

Deestruccin

Intterrupcin

Co
orrupcin

Reemocin

Reevelacin

Deestruccin

3. Metodologa
g de Risk Mgmt
g
CONCEPTOS DE PROBABILIDAD
Annualized Loss Multiplier Table
Frecuencia
F
i
Subjetiva

Equivalente
i l
Fraccionario

Costo/Multiplicador
C
/
l i li d
de Prdida

Nunca
Una vez en 300 aos
1/300
Una vez en 200 aos
1/200
Una vez en 100 aos
1/100
Una vez en 50 aos
1/50
Una vez en 25 aos
1/25
Una vez en 5 aos
1/5
Una vez en 2 aos
1/2
Anualmente
1/1
Dos veces al ao
1/.5
Cuatro veces al ao
1/.25
U vez all mes
Una
12/1
Dos veces al mes
12/.5
Una vez a la semana
52/1
Una vez al da
365/1
Dos veces al da
365/.5
/
Diez veces al da
265/.1
Una vez cada hora
8760/1
Una vez cada minuto
525,600/1
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

0.0
0.00333
0.005
0.01
0.02
0.04
0.20
0.50
1.0
2.0
4.0
12 0
12.0
24.0
52.0
365.0
730.0
3,650.0
8,760.0
525,600.0

3. Metodologa
g de Risk Mgmt
g
3.6 Determinar el Impacto Financiero, la Probabilidad de Ocurrencia
y calcular el Riesgo por cada relacin Activo-Amenaza
DETERMINAR IMPACTO FINANCIERO
$ VARIABLE
10
U= 1
100
U= 2
1,000
U= 3
10,000
U= 4
100 000
100,000
U= 5
1'000,000
U= 6
10'000,000
U= 7
100'000,000
U= 8
1,000'000,000
U= 9

DETERMINAR PROBABILIDAD DE OCURRENCIA

FRECUENCIA
VARIABLE
Una vez en 300 aos
P=1
Una vez en 30 aos
P=2
Una vez en 3 aos
P=3
Una vez cada 100 das
P=4
U vez cada
Una
d 10 d
das
P=5
Una vez por da
P=6
Diez veces por da
P=7
Cien veces por da
P=8

CALCULAR EL VALOR DEL RIESGO

RIESGO = (IMPACTO FINANCIERO) (PROBABILIDAD DE OCURRENCIA)
( P + U - 3)
10
R = ---3

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3. Metodologa
g de Risk Mgmt
g
3.7

Definir las Medidas de Proteccin

(Estrategias y Controles)

Componentes Esenciales de la Seguridad

Seguridad
Comunicaciones, Proceso de
Datos, Tcnica

ACTIVO

El concepto de Anillos de Proteccin

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3. Metodologa
g de Risk Mgmt
g
3.7

Definir las Medidas de Proteccin

(Estrategias y Controles)

ESTRATEGIAS
1. Evitar el Riesgo
2 Partir
2.
P ti (Dividir)
(Di idi ) ell Objetivo
Obj ti
3. Colocar el Activo en una posicin altamente visible
4. Ocultar el Activo
5. Combinar varios activos
6. Uso de mltiples estrategias. Anillos de Proteccin

Ti
Tipos
d
de controles
t l :P
Proteccin,
t i D
Deteccin,
t i Reaccin
R
i
Controles Preventivos
Controles Detectivos
Controles Correctivos
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3. Metodologa
g de Risk Mgmt
g
3 8 Desarrollar el Anlisis Beneficio-Costo de las
3.8
Medidas de Proteccin

Analizar si los Costos de las Medidas de Proteccin son

ms
C
Costo
t - Efectivos
Ef ti
que un seguro, ttomando
d en cuenta
t
los siguientes costos:

Costo de Adquisicin

Costo de Desarrollo

Costo de Adaptacin

Costo de Mantenimiento

Costo de Educacin

Otros Costos

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.

3. Metodologa
g de Risk Mgmt
g
3.9

Determinar la
l Factibilidad
b l d d Tcnica, Econmica y
Operacional de la implementacin de las Medidas de
Proteccin

3.10 Probar, Implementar y Evaluar las Medidas de Proteccin

Utilizar Tcnicas de Planeacin de Proyectos

Asegurar Funcionamiento
Efectuar correcciones y adaptaciones pertinentes
Emplear buenas prcticas gerenciales
Verificar resultados
Certificar implementacin

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.